ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZAT 1. A Szabályzat célja... 1 2. Adatkezelő adatai... 2 3. Fogalommagyarázat... 2 4. Az adatkezelés elvei 3-4 5. Érintettek tájékoztatása... 4 6. Érintettek jogai... 6 7. Adatkezelő kötelezettségei 7-8 8. Egyéb rendelkezések... 9 1. A Szabályzat célja BACSÓ ÉS TÁRSA VENDÉGLÁTÓIPARI BETÉTI TÁRSASÁG (a továbbiakban: Adatkezelő) jelen Szabályzattal a 2018. május 25. napjától alkalmazandó, az Európai Parlament és Tanács (EU) 2016/679. számú Rendeletnek (a továbbiakban: GDPR), illetve a vonatkozó magyar jogszabályoknak, különös tekintettel az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvénynek (a továbbiakban: Infotv.) való megfelelés érdekében az alábbi adatkezelési szabályzatot fogadja el az alulírott helyen és időben. A jelen Szabályzat célja, hogy rögzítse az Adatkezelő által alkalmazott adatvédelmi és adatkezelési elveket és szabályokat, valamint az Adatkezelő adatvédelmi és adatkezelési politikáját. A Szabályzat az Adatkezelőn kívül azon szervezetire vonatkozik, melyek az Európai Gazdasági Térség (EGT) területén rendelkeznek tevékenységi hellyel, vagy az EGT területén természetes személyek személyes adatait kezelik. Jelen Szabályzat az Adatkezelő valamennyi munkavállalójára, illetve vele megbízási jogviszonyban lévő személyekre nézve kötelező. 1
2. Adatkezelő adatai BACSÓ ÉS TÁRSA BT. 2120. DUNAKESZI, RÁKÓCZI ÚT. 15. Cégjegyzékszám: 13-06-028882 Adószám: 28510866-3-13 Adatvédelmi nyilvántartási szám: Telefonos elérhetőség:06-27-349 462 Elektronikus plehcsarda2@gmail.com elérhetőség: 3. Fogalommagyarázat A jelen pontban szereplő valamennyi definíciót a GDPR 4. cikke a következő módon határozza meg: Személyes adat: azonosított vagy azonosítható természetes személyre ( Érintett ) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható; Személyes adatok különleges kategóriái: faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok. Adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés; Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja; 2
Adatkezelő tevékenységi helye: az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő esetében az Unión belüli központi ügyvitelének helye, ha azonban a személyes adatok kezelésének céljaira és eszközeire vonatkozó döntéseket az adatkezelő egy Unión belüli másik tevékenységi helyén hozzák, és az utóbbi tevékenységi hely rendelkezik hatáskörrel az említett döntések végrehajtatására, az említett döntéseket meghozó tevékenységi helyet kell tevékenységi központnak tekinteni; Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel; Adatfeldolgozó tevékenységi helye: az egynél több tagállamban tevékenységi hellyel rendelkező adatfeldolgozó esetében az Unión belüli központi ügyvitelének helye, vagy ha az adatfeldolgozó az Unióban nem rendelkezik központi ügyviteli hellyel, akkor az adatfeldolgozónak az az Unión belüli tevékenységi helye, ahol az adatfeldolgozó tevékenységi helyén folytatott tevékenységekkel összefüggésben végzett fő adatkezelési tevékenységek zajlanak, amennyiben az adatfeldolgozóra e rendelet szerint meghatározott kötelezettségek vonatkoznak; Profilalkotás: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják; Álnevesítés: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni; Felügyeleti hatóság: egy tagállam által az 51. cikknek megfelelően létrehozott független közhatalmi szerv. Magyarországon ez a szerepet a Nemzeti Adatvédelmi és Információszabadság Hatóság (1125 Budapest, Szilágyi Erzsébet fasor 22/c.; https://www.naih.hu/panaszuegyintezes-rendje.html, továbbiakban: NAIH) tölti be. 4. Az adatkezelés elvei 4.1 Jogszerűség, tisztességes eljárás és átláthatóság A személyes adatok kezelését jogszerűen és tisztességesen, valamint az Érintett számára átlátható módon kell végezni. 4.2 Célhoz kötöttség A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet, és azokat nem kezelhetik ezekkel a célokkal össze nem egyeztethető módon; nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés. 3
4.3 Adattakarékosság A személyes adatoknak az adatkezelés céljai szempontjából megfelelőek és relevánsak kell lenniük és a szükségesre kell korlátozódniuk. 4.4 Pontosság A személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük; minden ésszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék. 4.5 Korlátozott átláthatóság A személyes adatok tárolásának olyan formában kell történnie, amely az Érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, a GDPR-ban az Érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel. 4.6 Integritás és bizalmi jelleg A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve. 4.7 Elszámoltathatóság Az Adatkezelő felelős a 4. pontnak való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására. 5. Érintettek tájékoztatása 5.1 A kezelt személyes adatok köre: munkavállalók, munkára jelentkezők, rendezvényre asztalfoglalók, 4
5.2 Az egyes adatkezelések célja és jogalapja: a) MUNKAVÁLLALÓI ADATKEZELÉS: b) munkafelvételhez kapcsolódó adatok kezelése az érintettek hozzájárulásával. c) munkaviszony létesítéséhez kapcsolódó adatok kezelése, d) szerződés létrejöttének teljesítéséhez. e) szerződés teljesítése f) ÜGYFÉL ADATKEZELÉS g) éttermi asztalfoglaláshoz, rendezvényhez kapcsolódó adatok kezelése h) az érintettek hozzájárulásával. i) rendezvény megkötéséhez kapcsolódó adatok kezelése j) a szerződés létrejöttének teljesítéséhez. 5.3 Az adatvédelmi tisztviselő/adatvédelemért felelős személy elérhetőségei: 5.4 BACSÓ BÉLA 06-30-9867 539 5.5 A kezelt személyes adatok címzettjei, illetve a címzettek kategóriái:e 5.6 ELEKES KÖNYVELŐ IRODA 5.7 A személyes adatok tárolásának tervezett időtartama, ennek hiányában az időtartam meghatározásának szempontjai:munkafelvételhez KAPCSOLÓDÓ ADATOK 60 nap 5.8 MUNKAVISZONYBAN LÉVŐ ADATOK SZERZŐDÉS MEGLÉTÉIG 5.9 ÜGYFÉL ADATKEZELÉS 1 ÉV 5.10 A személyes adat szolgáltatása: 1 a) jogszabályon alapul b) szerződéses kötelezettségen alapul c) szerződés kötésének előfeltétele 5.11 Az Érintett köteles/nem köteles 2 a személyes adatokat megadni. Az adatszolgáltatás elmaradása az alábbi lehetséges következményekkel járhat:a SZERZŐDÉSKÖTÉS NEM VALÓSUL MEG. 5.12 Az Adatkezelő az Érintett személyes adatait, vagy azok egy részét automatizált módon kezeli/nem kezeli. 3 Az automatizált adatkezelés során olyan döntések meghozatalára van lehetőség, melyekhez nem szükséges emberi közreműködés. Ennek megfelelően az Érintett jogosult arra, hogy ne terjedjen ki rá azon kizárólag automatizált adatkezelésen alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené. 1 A megfelelő rész aláhúzandó. 2 A megfelelő rész aláhúzandó. 3 A megfelelő rész aláhúzandó. 5
Az automatizált adatkezelésen alapuló döntés hatálya abban az esetben terjed ki az Érintettre, ha a döntés a) az Érintett és az Adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges b) az Érintett kifejezett hozzájárulásán alapul Az Érintett minden esetben jogosult arra, hogy az automatizált adatkezelésre az Adatkezelőtől emberi beavatkozást kérjen, azzal kapcsolatos álláspontját kifejezze, valamint a döntéssel szemben kifogást nyújtson be. 5.13 Ha az Adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, akkor erről az Érintettet tájékoztatja, és ehhez előzetes, kifejezett hozzájárulását megszerzi, illetőleg lehetőséget biztosít számára, hogy a felhasználást megtiltsa. 6. Érintettek jogai 6.1 Hozzáférési és egyéb jogok Az Érintett kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen. 6.2 Adathordozhatósághoz való jog Az Érintettet megilleti az adathordozhatósághoz való jog. Az Érintett a rá vonatkozó, általa a Szolgáltató rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkaphatja, illetve ezeket továbbíthatja egy másik adatkezelőnek 6.3 Hozzájárulás visszavonásához való jog Hozzájáruláson alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét. 6.4 Igényérvényesítés, panaszjog Az Érintett a Polgári Törvénykönyvről szóló 2013. évi V. törvény alapján bíróság előtt érvényesítheti jogait, valamint az Infotv.-ben foglaltak szerint a NAIH-hoz fordulhat és panaszt tehet. 6
7. Adatkezelő kötelezettségei 7.1 Adatbiztonsági intézkedések Az Adatkezelő egyrészt az adatvédelmi elvek megvalósítása, másrészt a GDPR-ban foglalt követelmények teljesítése és az érintettek jogainak védelméhez szükséges garanciák biztosítása érdekében az alábbi intézkedéseket hozza meg; - Munkafelvételhez kapcsolódó személyes adatokat csak - BACSÓ BÉLA és BACSÓ BÉLÁNÉ kezelheti. - Az adatok az érintett saját maga által megadott önéletrajz adatait - tartalmazza mely a rendelkezésre bocsájtás időpontjától számítva - 60 napon belül megsemmisítésre ill. törlésre kerül. - Munkaviszony létesítéséhez kapcsolódó adatokat csak - BACSÓ BÉLA és BACSÓ BÉLÁNÉ kezelheti. - Ezen adatok csak azok lehetnek melyeket a munkaszerződés kötelezően - előír ill.a munkaviszony létesítéséhez szükségesek. - Ezek az adatok az ELEKES KÖNYVELŐIRODÁBA elektronikus - úton megküldésre kerülnek és a munkaszerződés meglétéig valamint - a jogszabálynak megfelelően további 10 évig megőrzésre kerülnek. - Az érintettek egészségügyi állapotára vonatkozó adatokat az - EGÉSZSÉGÜGYI KÖNYV tartalmazza, amit az érintettek saját maguknál tartanak. - Ügyfél adatkezelést: BACSÓ BÉLA üzletvezető ill. - BACSÓ TIBOR felszolgáló - TEKNŐS JÓZSEF felszolgáló - BURCZKY LÁSZLÓ felszolgáló végezhetnek. - Mely adatok kizárólag: NÉV, TELEFONSZÁM, LAKCÍM, - RENDEZVÉNY JELLEGÉTŐL FÜGGŐEN ÉLETKOR - lehetnek, melyeket XOFT KFT. által forgalmazott éttermi szoftver és - 1 éven belül törlésre kerülnek. - Ebbe a szoftverbe a jogosultak csak saját kóddal tudnak belépni!! - - Az egyes intézkedések meghatározásakor az Adatkezelő az alábbi kockázatokat veszi figyelembe; a kezelt személyes adatok véletlen vagy jogellenes megsemmisítése, elvesztése, megváltoztatása, jogosulatlan nyilvánosságra hozatala vagy az azokhoz való jogosulatlan hozzáférés. Az Adatkezelő a megtett intézkedéseket felülvizsgálja és szükség esetén naprakésszé teszi. 7.2 Célhoz kötött adatkezelés biztosítása Az Adatkezelő elősegíti, hogy kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a gyűjtött 7
személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségére vonatkozik. Biztosítani kell, hogy a személyes adatok alapértelmezés szerint emberi beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú személy számára. 7.3 Nyilvántartási kötelezettség Az Adatkezelő adatkezelési tevékenységéről írásban nyilvántartást vezet, mely a következő információkat tartalmazza: - az adatkezelő neve és elérhetősége, valamint ha van ilyen a közös adatkezelőnek, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége; - az adatkezelés céljai; - az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése; - olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi szervezeteket; - ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők; - ha lehetséges, az adatkezelés biztonságát szolgáló, 7.1. pontban szereplő technikai és szervezési intézkedések általános leírása. Az Adatkezelő megkeresés alapján a felügyeleti hatóság (NAIH) részére rendelkezésére bocsátja a nyilvántartást. 7.4 Kötelezettségek adatvédelmi incidensek esetén Az Adatkezelőnek az adatvédelmi incidensekkel kapcsolatban az alábbi kötelezettségei vannak: - a tudomásszerzést követő, legkésőbb 72 órán belül be kell jelenteni az incidenst a NAIH-nak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve; ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is; 8
- a bejelentésben szereplő információk több részletben is közölhetőek indokolatlan késedelem nélkül; - adatvédelmi incidensek nyilvántartása, az ahhoz kapcsolódó tények feltüntetésével, illetve az orvoslásra tett intézkedéseket; - az Érintett tájékoztatása az adatvédelmi incidensről a GDPR 34. cikkében szereplő feltételek fennállása esetén, az ott meghatározott módon; 7.5 Adatvédelmi hatásvizsgálat elvégzése Az Adatkezelőnek a GDPR 35. cikkének megfelelően adatvédelmi hatásvizsgálatot kell végeznie abban az esetben, ha a tervezett adatkezelés valószínűsíthetően magas kockázattal jár az Érintettek jogaira és szabadságaira nézve. A vizsgálat arra irányul, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. Az Adatkezelő a vizsgálat során kikéri az érintettek vagy képviselőik véleményét a tervezett adatkezelésről. Az Adatkezelő szükség szerint, de legalább az adatkezelési műveletek által jelentett kockázat változása esetén ellenőrzést folytat le annak értékelése céljából, hogy a személyes adatok kezelése az adatvédelmi hatásvizsgálatnak megfelelően történik-e. 8. Egyéb rendelkezések 8.1 Az Adatkezelő feladatai végrehajtása során a NAIH-al annak megkeresése alapján együttműködik. 8.2 Az Adatkezelő gondoskodik jelen szabályzat felülvizsgálata és szükség szerint naprakésszé tétele iránt. 8.3 Az Adatkezelő jogosult egyoldalúan módosítani a szabályzat tartalmát; ilyen esetben az Érintettek értesítése kötelező. 8.4 Jelen szabályzatban nem szabályozott kérdésekre a magyar jog adatvédelmi tárgyú jogszabályai, különös tekintettel az Infotv. és a 2018. május 25. napjától alkalmazandó GDPR rendelkezései irányadóak. Kelt.: Dunakeszi., 2018..év 05..hónap 24.nap BACSÓ ÉS TÁRSA BT. 9